aperçu
L'article suivant explique comment configurer l'authentification Windows intégrée (IWA) dans IIS dans un environnement d'équilibrage de charge L4 + terminaison SSL.
Lors de la configuration de cette méthode, il existe de nombreux cas où l'authentification échoue en raison de paramètres SPN (Service Principal Name) incorrects ou dupliqués.
Cet article fournit une explication complète de l'enregistrement SPN et des tâches nécessaires.
Exemple de configuration dans cet article
[Navigateur client] | | Accès HTTPS v [Équilibreur de charge L4 (TCP 443)] | | vv [Serveur1 (IIS)] [Serveur2 (IIS)]- Nom de domaine complet :
sso.chat-messenger.com - Nom d'hôte IIS :
Serveur1,Serveur2 - Comptes de services partagés :
CAMTEST\cam-svc
Problème : erreur de SPN en double
Avec l’authentification Windows intégrée, le client recherche le SPN du FQDN auquel il accède et obtient un ticket Kerberos pour le compte de service correspondant.
setspn -S HTTP/sso.chat-messenger.com Serveur1$ setspn -S HTTP/sso.chat-messenger.com Serveur2$Comme mentionné ci-dessus, le même FQDN (sso.chat-messenger.com) vers différents hôtes (Serveur1, Serveur2), l'erreur suivante se produit :
SPN en double trouvé, opération interrompue.Solution : enregistrer le SPN dans le compte de service partagé
Si plusieurs hôtes utilisent le même FQDN, un seul SPN doit être enregistré dans le compte de service partagé.
Création d'un compte de services partagés
Le compte de service exécuté dans le pool d'applications IIS peut être un utilisateur de domaine (à condition qu'il appartienne aux utilisateurs du domaine), mais pour séparer les utilisateurs normaux et les comptes de service et clarifier la portée de la politique de mot de passe et empêcher les opérations erronées,OU=Comptes de service Comme, OU Utilisateurs Contrôleurs de domaine Active Directory,cam-svc Créer un
Enregistrer le SPN avec un compte de service
Enregistrez le SPN en utilisant le compte de service créé ci-dessus.
setspn -S HTTP/sso.chat-messenger.com CAMTEST\cam-svc- Tout appareil faisant partie du domaine peut être utilisé, mais des privilèges d'administrateur de domaine sont requis.
・SPN est également utilisé dans la communication HTTPSHTTP/nom d'hôteVous devez vous inscrire au format :
Paramètres du pool d'applications IIS
Serveur1, Serveur2 Modifiez l’utilisateur d’exécution du pool d’applications sur les deux serveurs sur le compte de service que vous avez créé. CAMTEST\cam-svc Régler sur
Gestionnaire IIS « Éditeur de configuration »
Pour modifier le pool d'applications IIS en compte de service et faire en sorte que l'authentification Windows fonctionne correctement avec Kerberos, vous devez configurer les éléments suivants dans la fonction « Éditeur de configuration » du Gestionnaire IIS :
system.webServer/security/authentication/windowsAuthenticationsectionutiliser les informations d'identification du pool d'applicationsdeVraiRégler surutiliserKernelModedeFAUXRégler sur
Définissez l'autorisation « Se connecter en tant que tâche par lots » pour le compte de service partagé.
Le pool d’applications répond aux requêtes Web. w3wp.exeSi vous exécutez ceci sous un compte de service partagé, le processus se verra refuser le démarrage et une erreur HTTP 503 se produira si le compte ne dispose pas de l'autorisation « Se connecter en tant que tâche par lots ». Le compte de service partagé doit donc disposer de l'autorisation « Se connecter en tant que tâche par lots » définie (basée sur GPO).
Les paramètres suivants peuvent être contrôlés via la stratégie de sécurité locale de chaque périphérique IIS. Cependant, des restrictions peuvent être imposées par les stratégies d'organisation d'un objet de stratégie de groupe (GPO) sur un contrôleur de domaine Active Directory. Dans ce cas, vous devrez les contrôler via l'objet de stratégie de groupe lui-même, et cet article explique comment procéder.
Étapes pour lier l'objet de stratégie de groupe à OU=ServiceAccounts
Compte de serviceCAMTEST\cam-svcdeOU=Comptes de serviceSi vous le créez dans
Si vous ne liez pas de stratégie de groupe (par exemple, IIS-BatchLogon-GPO) à cette unité d'organisation,cam-svcLa stratégie n'est pas appliquée au compte. La cible de l'objet de stratégie de groupe est déterminée par l'unité organisationnelle à laquelle il est lié ; il est donc important de faire correspondre l'emplacement du compte avec l'objet de stratégie de groupe lié.
gpmc.mscet lancez l'éditeur de gestion des stratégies de groupe.- Dans le volet de gauche
camtest.com/ServiceAccountsFaites un clic droit sur l'UO → "Créez un GPO dans ce domaine et liez-le à ce conteneur" → Saisissez n'importe quel nom (par exempleIIS-BatchLogon-GPO) - Créé
IIS-BatchLogon-GPOModifier avec - Configuration ordinateur → Paramètres Windows → Paramètres de sécurité → Stratégies locales → Attribution des droits utilisateur → Se connecter en tant que tâche par lots
- Double-cliquez pour ouvrir la boîte de dialogue
CAMTEST\cam-svcAjouter un utilisateur
Concernant l'application des paramètres GPO
Pour appliquer correctement le GPO, vous devez gpupdate /force Cela garantira l'application immédiate des paramètres de GPO. En particulier, lors de l'attribution du droit « Connexion par lots », l'application de la stratégie peut prendre du temps. w3wp.exe Cela peut entraîner un échec de démarrage.